get_queried_object(); $id = $cu->ID; ?>

Har vi fått fire sikkerhetsegenskaper med personvernforordningen?

Alle vi som jobber med informasjonssikkerhet er godt kjent med sikkerhetsegenskapene K – I – T, Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhetsansvarlige og personvernombud har heiet fram disse sikkerhetsegenskapene i årtier, og minnet om å ta hensyn til dem i interne og eksterne risikovurderinger.

Men har vi nå fått en fjerde sikkerhetsegenskap, Robusthet, med forordningen?

Artikkel 32 i personvernforordningen sier:
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i […], skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet […]
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene

Hva er egentlig robusthet?

Personvernforordningen definerer ikke robusthet (resilience), men sier likevel noe om det i punkt 49 i fortalen: «[…] å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten […]».

Den mest hensiktsmessige tolkningen av dette er muligens presentert av (National Institute of Standards and Technology, NIST) som sier at robusthet handler om informasjonssystemers evne til å:

  • fortsette å operere under ugunstige forhold eller stress, selv under degradert eller svekket tilstand, samtidig som de opprettholder essensiell operasjonell drift; og
  • gjenopprette normaltilstand på en effektiv måte, innen en tidsramme som er i samsvar med virksomhetens behov.

Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Samtidig skal personvernprinsippene og de registrertes rettigheter og friheter ivaretas. Dette gjelder under både normale og unormale omstendigheter. Det vil for eksempel si at informasjonssikkerheten i programvare og tjenester ikke svekkes eller må settes opp på nytt, men opprettholdes ved endringer (dette inkluderer oppdateringer) og ytre påvirkninger. Når organisasjonen sikrer at systemene har innebygd personvern og informasjonssikkerhet, bygges robusthet inn i systemene. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger.

Hvordan oppnå robusthet?

Tekniske og organisatoriske tiltak for å oppnå robusthet kan være:

  • Regelmessige opplæringstiltak og bevisstgjøringskampanjer for å bygge personvern- og sikkerhetskultur i hele virksomheten
  • Prosedyrer for effektiv avvikshåndtering, noe som omfatter å
    • oppdage sikkerhetshendelser,
    • analysere sikkerhetshendelser for å finne ut om det har oppstått brudd på personopplysningssikkerheten,
    • gjenopprette normaltilstand,
    • rapportere brudd på personopplysningssikkerheten til ledelsen, de registrerte, behandlingsansvarlig, Datatilsynet mm,
    • implementere tiltak som lukker sårbarheten som medførte hendelsen,
    • evaluere og lære av hendelsen (omfatter også opplæring av ansatte)
  • Tilgangsstyring – ivareta konfidensialitet, integritet og tilgjengelighet
  • Regelmessig evaluering av effektiviteten av eksisterende tiltak
  • Kontinuerlig vurdere nye tekniske og organisatoriske tiltak med hensyn til «state of the art» og utviklingen i samfunnet
  • Regelmessig sikkerhetstesting av systemer, løsninger, programmer og verktøy
  • Etablere og vedlikeholde kontinuitetsplaner, inkludert rutiner for sikkerhetskopiering og gjenoppretting.
  • Etablere og vedlikeholde beredskapsplaner
  • Regelmessige øvelser for de ansatte på kriser og utfordringer i henhold til virksomhetens beredskapsplaner og kontinuitetsplaner
  • Styringssystem for personvern og informasjonssikkerhet

Sikkerhetsegenskapene skal ivareta personvernprinsippene

Manglende robusthet kan føre til sikkerhetshendelser. Det er ikke selve mangelen på robusthet som vil være et brudd på informasjonssikkerhet, men resultatet av mangelen på robusthet.

Artikkel 4 punkt 12 i forordningen definerer brudd på personopplysningssikkerheten slik: «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Alle de fire sikkerhetsegenskapene skal bidra til en effektiv ivaretagelse av personvernprinsippene, og dine og mine rettigheter og friheter. Den behandlingsansvarlige og databehandleren har plikt til å sørge for dette.

Fra at vi tradisjonelt sett har hatt de tre sikkerhetsegenskapene K – I – T, er vi med personvernforordningen beriket med fire? Skal vi forkorte dem R – I – K – T?

Koronaskolen: alt nytt på hjemmeskolefronten

Da samfunnet stengte ned i mars, ble vi alle kastet ut i ukjent territorium. Arbeidsplasser og restauranter skalket lukene. Å vandre gatelangs i Oslo på kveldstid minnet om å bevege seg i et dystopisk framtidsscenario.  Den levende byen ble over natten nærmest...

les mer

Pandemi og personvern

I en tid hvor pandemier dominerer folks bevissthet har personvern aldri vært mer aktuelt. Følg med på vår bloggserie om pandemi og personvern til høsten. Da de siste dagene av 2019 ebbet ut og vi entret et nytt tiår, kunne vi se tilbake på et år hvor personvern hadde...

les mer

Personvern i en krisetid

Hvilke tiltak vi iverksetter i dag vil ikke bare påvirke hvordan pandemien utvikler seg, men også hvilket samfunn vi skal leve i når sykdommen har rast fra seg. Den viktigste oppgaven i verden nå er å håndtere koronapandemien. Det er så viktig at vi setter nesten alt...

les mer

Når reklamen ser deg

Du er kanskje vant til å se reklame overalt du beveger deg. Har du noen gang tenkt på at reklamen kanskje ser deg også? Noen reklameskilt har et innebygget kamera som analyserer ansiktene til forbipasserende. På denne måten kan reklamebudskapet tilpasses til...

les mer

Barn fortjener bedre personvern i skolen

Når hver enkelt kommune må utforme sin egen digitale skolehverdag kan mye gå galt. Kanskje ligger løsningen på nasjonalt nivå. Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar. I dag markeres den internasjonale...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading